<!DOCTYPE html>

<html class="translated-ltr"><head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>证书</title>
<link rel="stylesheet" type="text/css" href="../C.css">
<script type="text/javascript" src="../jquery.js"></script><script type="text/javascript" src="../jquery.syntax.js"></script><script type="text/javascript" src="../yelp.js"></script>
<link type="text/css" rel="stylesheet" charset="UTF-8" href="https://translate.googleapis.com/translate_static/css/translateelement.css"></head>
<body id="home">
<!--<script src="https://ssl.google-analytics.com/urchin.js" type="text/javascript"></script><script type="text/javascript">
        _uacct = "UA-1018242-8";
        urchinTracker();
      </script><script>
      function englishPageVersion() {
        var href = window.location.href;
        if (href.slice(-1) == "/") {
                window.location = "index.html.en";
        } else {
                window.location = href.replace(/\.html.*/, ".html.en");
        }
         return false;
      }
      function browserPreferredLanguage() {
        var href = window.location.href;
        if (href.slice(-1) == "/") {
                window.location = href;
        } else {
                window.location = href.replace(/\.html.*/, ".html");
        }
        return false;
      }
      </script>--><div id="container">
<div id="container-inner">
<div id="mothership"><ul>
<li><a href="https://partners.ubuntu.com"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">伙伴</font></font></a></li>
<li><a href="https://www.ubuntu.com/support/community-support"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">支持</font></font></a></li>
<li><a href="https://community.ubuntu.com"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">社区</font></font></a></li>
<li><a href="https://www.ubuntu.com"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Ubuntu.com</font></font></a></li>
</ul></div>
<div id="header">
<h1 id="ubuntu-header"><a href="https://help.ubuntu.com/"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Ubuntu文档</font></font></a></h1>
<ul id="main-menu">
<li><a class="main-menu-item current" href="https://help.ubuntu.com/"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">官方文件</font></font></a></li>
<li><a href="https://help.ubuntu.com/community/CommunityHelpWiki"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">社区帮助Wiki</font></font></a></li>
<li><a href="https://community.ubuntu.com/t/contribute/26"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">有助于</font></font></a></li>
</ul>
</div>
<div id="menu-search"><div id="search-box">
<noscript><form action="https://www.google.com/cse" id="cse-search-box"><div>
<input type="hidden" name="cx" value="003883529982892832976:e2vwumte3fq"><input type="hidden" name="ie" value="UTF-8"><input type="text" name="q" size="21"><input type="submit" name="sa" value="Search">
</div></form></noscript><!--
<script>
                document.write('<form action="https://help.ubuntu.com/search.html" id="cse-search-box">');
                document.write('  <div>');
                document.write('    <input type="hidden" name="cof" value="FORID:9">');
                document.write('    <input type="hidden" name="cx" value="003883529982892832976:e2vwumte3fq">');
                document.write('    <input type="hidden" name="ie" value="UTF-8">');
                document.write('    <input type="text" name="q" size="21">');
                document.write('    <input type="submit" name="sa" value="Search">');
                document.write('  </div>');
                document.write('</form>');
              </script>-->
</div></div>
<div class="trails"><div class="trail">
<a href="https://help.ubuntu.com/18.04" class="trail"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Ubuntu 18.04</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;"> &nbsp;» </font></font><a class="trail" href="../index.html" title="Ubuntu服务器指南"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Ubuntu服务器指南</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;"> &nbsp;» </font></font><a class="trail" href="security.html" title="安全"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">安全性</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;"> &nbsp;»</font></font></div></div>
<div id="cwt-content" class="clearfix content-area"><div id="page">
<div id="content">
<div class="links nextlinks">
<a class="nextlinks-prev" href="apparmor.html" title="AppArmor的"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">上一页</font></font></a><a class="nextlinks-next" href="ecryptfs.html" title="eCryptfs"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">下一页</font></font></a>
</div>
<div class="hgroup"><h1 class="title"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">证书</font></font></h1></div>
<div class="region">
<div class="contents">
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
            目前最常见的加密形式之一是</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">公钥</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">加密。</font><font style="vertical-align: inherit;">公钥加密利用</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">公钥</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">和</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">私钥</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">。</font><font style="vertical-align: inherit;">系统通过</font><font style="vertical-align: inherit;">使用公钥</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">加密</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">信息来</font><font style="vertical-align: inherit;">工作</font><font style="vertical-align: inherit;">。</font><font style="vertical-align: inherit;">然后，只能</font><font style="vertical-align: inherit;">使用私钥</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">解密</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">该信息</font><font style="vertical-align: inherit;">。
            </font></font></p>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
            公钥加密的一个常见用途是使用安全套接字层（SSL）或传输层安全性（TLS）连接加密应用程序流量。</font><font style="vertical-align: inherit;">一个例子：配置Apache以提供</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">HTTPS</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">，即SSL上的HTTP协议。</font><font style="vertical-align: inherit;">这允许使用本身不提供加密的协议加密流量的方法。
            </font></font></p>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
            一个</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">证书</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">是用于分发的方法</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">公钥</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">有关服务器，谁负责其组织和其他信息。</font><font style="vertical-align: inherit;">证书可以由</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">证书颁发机构</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">或CA </font><font style="vertical-align: inherit;">进行数字签名。 
            </font><font style="vertical-align: inherit;">CA是受信任的第三方，已确认证书中包含的信息是准确的。
            </font></font></p>
</div>
<div class="links sectionlinks" role="navigation"><ul>
<li class="links"><a class="xref" href="certificates-and-security.html#types-of-certificates" title="证书类型"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">证书类型</font></font></a></li>
<li class="links"><a class="xref" href="certificates-and-security.html#generating-a-csr" title="生成证书签名请求（CSR）"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">生成证书签名请求（CSR）</font></font></a></li>
<li class="links"><a class="xref" href="certificates-and-security.html#creating-a-self-signed-certificate" title="创建自签名证书"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">创建自签名证书</font></font></a></li>
<li class="links"><a class="xref" href="certificates-and-security.html#installing-the-certificate" title="安装证书"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">安装证书</font></font></a></li>
<li class="links"><a class="xref" href="certificates-and-security.html#certificate-authority" title="认证机构"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">认证机构</font></font></a></li>
<li class="links"><a class="xref" href="certificates-and-security.html#certificate-references" title="参考"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">参考</font></font></a></li>
</ul></div>
<div class="sect2 sect" id="types-of-certificates"><div class="inner">
<div class="hgroup"><h2 class="title"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">证书类型</font></font></h2></div>
<div class="region"><div class="contents">
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              要使用公钥加密设置安全服务器，在大多数情况下，您需要将证书请求（包括公钥），公司身份证明以及付款发送给CA. </font><font style="vertical-align: inherit;">CA验证证书请求和您的身份，然后为您的安全服务器发回证书。</font><font style="vertical-align: inherit;">或者，您可以创建自己的</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">自签名</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;"> 
             证书。 
            </font></font></p>
<div class="note" title="注意"><div class="inner"><div class="region"><div class="contents">
              <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              请注意，不应在大多数生产环境中使用自签名证书。
              </font></font></p>
            </div></div></div></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
	    继续使用HTTPS示例，CA签名证书提供了自签名证书不具备的两项重要功能：
            </font></font></p>
<div class="list itemizedlist"><ul class="list itemizedlist">
<li class="list itemizedlist">
            <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
            浏览器（通常）自动识别证书并允许在不提示用户的情况下进行安全连接。
            </font></font></p>
            </li>
<li class="list itemizedlist">
            <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
             当CA颁发签名证书时，它保证向浏览器提供网页的组织的身份。
            </font></font></p>
            </li>
</ul></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
             支持SSL的大多数Web浏览器和计算机都有一个CA列表，这些CA的证书会自动接受。</font><font style="vertical-align: inherit;">如果浏览器遇到授权CA不在列表中的证书，则浏览器会要求用户接受或拒绝连接。</font><font style="vertical-align: inherit;">此外，使用自签名证书时，其他应用程序可能会生成错误消息。
            </font></font></p>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
            从CA获取证书的过程相当容易。</font><font style="vertical-align: inherit;">快速概述如下：
            </font></font></p>
<div class="list orderedlist"><ol class="list orderedlist">
<li class="list orderedlist">
               <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">创建专用和公用加密密钥对。</font></font></p>
            </li>
<li class="list orderedlist">
                 <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">根据公钥创建证书请求。</font><font style="vertical-align: inherit;">证书请求包含有关您的服务器和托管它的公司的信息。</font></font></p>
            </li>
<li class="list orderedlist">
                 <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">将证书请求以及证明您身份的文档发送给CA. </font><font style="vertical-align: inherit;">我们无法告诉您选择哪个证书颁发机构。</font><font style="vertical-align: inherit;">您的决定可能基于您过去的经历，或您朋友或同事的经验，或纯粹基于货币因素。</font></font></p>

                    <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">确定CA后，您需要按照他们提供的有关如何从中获取证书的说明进行操作。</font></font></p>
            </li>
<li class="list orderedlist">
               <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">当CA确信您确实是您声称的人时，他们会向您发送数字证书。</font></font></p>
            </li>
<li class="list orderedlist">
              <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              在安全服务器上安装此证书，并配置相应的应用程序以使用证书。
              </font></font></p>
            </li>
</ol></div>
</div></div>
</div></div>
<div class="sect2 sect" id="generating-a-csr"><div class="inner">
<div class="hgroup"><h2 class="title"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">生成证书签名请求（CSR）</font></font></h2></div>
<div class="region"><div class="contents">
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
          无论您是从CA获取证书还是生成自己的自签名证书，第一步都是生成密钥。
          </font></font></p>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">       
          如果证书将由服务守护程序使用，例如Apache，Postfix，Dovecot等，则没有密码的密钥通常是合适的。</font><font style="vertical-align: inherit;">没有密码短语允许服务在没有人工干预的情况下启动，通常是启动守护程序的首选方式。
          </font></font></p>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">                  
          本节将介绍如何使用密码短语生成密钥，而不使用密码短语。</font><font style="vertical-align: inherit;">然后，将使用非密码短语密钥生成可与各种服务守护程序一起使用的证书。 
          </font></font></p>
<div class="note note-warning" title="警告"><div class="inner"><div class="region"><div class="contents">
            <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
            在没有密码的情况下运行安全服务非常方便，因为每次启动安全服务时都不需要输入密码。</font><font style="vertical-align: inherit;">但它是不安全的，关键的妥协意味着服务器的妥协。
            </font></font></p>
          </div></div></div></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
          要生成</font><font style="vertical-align: inherit;">证书签名请求（CSR）</font><font style="vertical-align: inherit;">的</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">密钥</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">，请从终端提示符运行以下命令：
          </font></font></p>
<div class="screen"><pre class="contents "><span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">openssl genrsa -des3 -out server.key 2048</font></font></span>
</pre></div>
<div class="code"><pre class="contents "><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">生成RSA私钥，2048位长模数</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
.......................... ++++++</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
....... ++++++</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
e是65537（0x10001）</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
输入server.key的密码短语：</font></font><font></font>
</pre></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        您现在可以输入密码。</font><font style="vertical-align: inherit;">为了获得最佳安全性，它至少应包含八个字符。</font><font style="vertical-align: inherit;">指定-des3时的最小长度为四个字符。</font><font style="vertical-align: inherit;">它应该包括数字和/或标点符号，而不是字典中的单词。</font><font style="vertical-align: inherit;">还要记住，您的密码短语区分大小写。 
        </font></font></p>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        重新输入密码以进行验证。</font><font style="vertical-align: inherit;">正确重新键入后，将生成服务器密钥并将其存储在
         </font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">server.key</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">文件中。
        </font></font></p>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        现在创建一个不安全密钥，一个没有密码短语的密钥，并随机输入密钥名称：
        </font></font></p>
<div class="screen"><pre class="contents "><span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">openssl rsa -in server.key -out server.key.insecure </font></font></span>
<span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">mv server.key server.key.secure </font></font></span>
<span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">mv server.key.insecure server.key</font></font></span>
</pre></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        不安全的密钥现在名为</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">server.key</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">，您可以使用此文件生成没有密码的CSR。
        </font></font></p>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        要创建CSR，请在终端提示符处运行以下命令：
        </font></font></p>
<div class="screen"><pre class="contents "><span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">openssl req -new -key server.key -out server.csr</font></font></span>
</pre></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        它会提示您输入密码。</font><font style="vertical-align: inherit;">如果输入正确的密码，它将提示您输入公司名称，站点名称，电子邮件ID等。输入所有这些详细信息后，将创建CSR并将其存储在
         </font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">server.csr</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">文件中。
        </font></font></p>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
 	您现在可以将此CSR文件提交给CA进行处理。</font><font style="vertical-align: inherit;">CA将使用此CSR文件并颁发证书。</font><font style="vertical-align: inherit;">另一方面，您可以使用此CSR创建自签名证书。</font></font></p>
</div></div>
</div></div>
<div class="sect2 sect" id="creating-a-self-signed-certificate"><div class="inner">
<div class="hgroup"><h2 class="title"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">创建自签名证书</font></font></h2></div>
<div class="region"><div class="contents">
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
            要创建自签名证书，请在终端提示符处运行以下命令：
            </font></font></p>
<div class="screen"><pre class="contents "><span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt</font></font></span>
</pre></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">以上命令将提示您输入密码。</font><font style="vertical-align: inherit;">输入正确的密码后，将创建证书并将其存储在
             </font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">server.crt</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">文件中。  </font></font></p>
<div class="note note-warning" title="警告"><div class="inner"><div class="region"><div class="contents">
        <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
            如果要在生产环境中使用安全服务器，则可能需要CA签名证书。</font><font style="vertical-align: inherit;">建议不要使用自签名证书。
        </font></font></p>
        </div></div></div></div>
</div></div>
</div></div>
<div class="sect2 sect" id="installing-the-certificate"><div class="inner">
<div class="hgroup"><h2 class="title"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">安装证书</font></font></h2></div>
<div class="region"><div class="contents">
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">您可以</font><font style="vertical-align: inherit;">通过在终端提示符下运行以下命令</font><font style="vertical-align: inherit;">来安装密钥文件
             </font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">server.key</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">和证书文件
             </font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">server.crt</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">，或CA颁发的证书文件：
            </font></font></p>
<div class="screen"><pre class="contents "><span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sudo cp server.crt / etc / ssl / certs </font></font></span>
<span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sudo cp server.key / etc / ssl / private</font></font></span>
</pre></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        现在，只需配置任何具有使用公钥加密功能的应用程序即可使用</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">证书</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">和</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">密钥</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">文件。</font><font style="vertical-align: inherit;">例如，</font></font><span class="app application"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Apache</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">可以提供HTTPS，</font></font><span class="app application"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Dovecot</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">可以提供IMAPS和POP3S等。 
        </font></font></p>
</div></div>
</div></div>
<div class="sect2 sect" id="certificate-authority"><div class="inner">
<div class="hgroup"><h2 class="title"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">认证机构</font></font></h2></div>
<div class="region"><div class="contents">
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
          如果网络上的服务需要多个自签名证书，则可能需要额外的工作来设置您自己的内部</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">证书颁发机构（CA）</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">。</font><font style="vertical-align: inherit;">使用由您自己的CA签名的证书，允许使用证书的各种服务使用从同一CA颁发的证书轻松地信任其他服务。
          </font></font></p>
<div class="steps"><div class="inner"><ol class="steps">
<li class="steps">
  
              <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              首先，创建用于保存CA证书和相关文件的目录：
              </font></font></p>    

<div class="screen"><pre class="contents "><span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sudo mkdir / etc / ssl / CA </font></font></span>
<span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sudo mkdir / etc / ssl / newcerts</font></font></span>
</pre></div>

            </li>
<li class="steps">
  
              <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              CA需要一些额外的文件来操作，一个用于跟踪CA使用的最后一个序列号，每个证书必须具有唯一的序列号，另一个文件用于记录已颁发的证书：
              </font></font></p>    

<div class="screen"><pre class="contents "><span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sudo sh -c“echo'01'&gt; / etc / ssl / CA / serial” </font></font></span>
<span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sudo touch /etc/ssl/CA/index.txt</font></font></span>
</pre></div>

            </li>
<li class="steps">
  
              <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              第三个文件是CA配置文件。</font><font style="vertical-align: inherit;">虽然不是绝对必要，但在颁发多个证书时非常方便。</font><font style="vertical-align: inherit;">编辑</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/etc/ssl/openssl.cnf</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">，并在 
               </font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">[CA_default]中</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">更改：
              </font></font></p>    

<div class="code"><pre class="contents "><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">dir = / etc / ssl＃保存所有内容</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
database = $ dir / CA / index.txt #database index file。</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
certificate = $ dir / certs / cacert.pem #CA证书</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
serial = $ dir / CA / serial＃当前序列号</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
private_key = $ dir / private / cakey.pem＃私钥</font></font><font></font>
</pre></div>    

            </li>
<li class="steps">
  
              <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              接下来，创建自签名根证书：
              </font></font></p>    

<div class="screen"><pre class="contents "><span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650</font></font></span>
</pre></div>

              <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              然后，系统会要求您输入有关证书的详细信息。
              </font></font></p>

            </li>
<li class="steps">
  
              <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              现在安装根证书和密钥：
              </font></font></p>    

<div class="screen"><pre class="contents "><span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sudo mv cakey.pem / etc / ssl / private / </font></font></span>
<span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sudo mv cacert.pem / etc / ssl / certs /</font></font></span>
</pre></div>

            </li>
<li class="steps">
  
              <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              您现在可以开始签署证书了。</font><font style="vertical-align: inherit;">所需的第一项是证书签名请求（CSR），</font><font style="vertical-align: inherit;">有关详细信息</font><font style="vertical-align: inherit;">，请参阅</font></font><a class="xref" href="certificates-and-security.html#generating-a-csr" title="生成证书签名请求（CSR）"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">生成证书签名请求（CSR）</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">。</font><font style="vertical-align: inherit;">获得CSR后，输入以下内容以生成CA签名的证书：
              </font></font></p>    

<div class="screen"><pre class="contents "><span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sudo openssl ca -in server.csr -config /etc/ssl/openssl.cnf</font></font></span>
</pre></div>

              <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              输入CA密钥的密码后，系统将提示您签署证书，然后再次提交新证书。</font><font style="vertical-align: inherit;">然后，您应该看到与证书创建相关的大量输出。
              </font></font></p>

            </li>
<li class="steps">   

              <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              现在应该有一个</font><font style="vertical-align: inherit;">包含相同输出</font><font style="vertical-align: inherit;">的新文件</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/etc/ssl/newcerts/01.pem</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">。</font><font style="vertical-align: inherit;">复制并粘贴以行开头的所有内容：</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">----- BEGIN CERTIFICATE -----</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">并继续执行以下行：</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">---- END CERTIFICATE -----</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">行到以服务器主机名命名的文件证书将被安装。</font><font style="vertical-align: inherit;">例如</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">mail.example.com.crt</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">，是一个很好的描述性名称。
              </font></font></p>

              <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              后续证书将命名为</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">02.pem</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">，</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">03.pem</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">等。
              </font></font></p>

              <div class="note" title="注意"><div class="inner"><div class="region"><div class="contents">
                <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
                将</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">mail.example.com.crt</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">替换</font><font style="vertical-align: inherit;">为您自己的描述性名称。
                </font></font></p>
              </div></div></div></div>

            </li>
<li class="steps">
  
              <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              最后，将新证书复制到需要它的主机，并配置相应的应用程序以使用它。</font><font style="vertical-align: inherit;">安装证书的默认位置是</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/ etc / ssl / certs</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">。</font><font style="vertical-align: inherit;">这使多个服务可以使用相同的证书，而不会过于复杂的文件权限。
              </font></font></p>    

              <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              对于可以配置为使用CA证书的应用程序，还应将</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/etc/ssl/certs/cacert.pem</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">文件</font><font style="vertical-align: inherit;">复制 
               </font><font style="vertical-align: inherit;">到</font><font style="vertical-align: inherit;">
              每台服务器上</font><font style="vertical-align: inherit;">的</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/ etc / ssl / certs /</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">目录中。
              </font></font></p>

            </li>
</ol></div></div>
</div></div>
</div></div>
<div class="sect2 sect" id="certificate-references"><div class="inner">
<div class="hgroup"><h2 class="title"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">参考</font></font></h2></div>
<div class="region"><div class="contents"><div class="list itemizedlist"><ul class="list itemizedlist">
<li class="list itemizedlist">
              <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              有关使用加密技术的更多详细说明，请参阅</font><font style="vertical-align: inherit;">tldp.org </font><font style="vertical-align: inherit;">的
               </font></font><a href="http://tldp.org/HOWTO/SSL-Certificates-HOWTO/index.html" class="ulink" title="http://tldp.org/HOWTO/SSL-Certificates-HOWTO/index.html"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">SSL证书HOWTO</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">：
              </font></font></p>
            </li>
<li class="list itemizedlist">
              <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              Wikipedia </font></font><a href="http://en.wikipedia.org/wiki/HTTPS" class="ulink" title="http://en.wikipedia.org/wiki/HTTPS"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">HTTPS</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">页面提供了有关HTTPS的更多信息。
              </font></font></p>
            </li>
<li class="list itemizedlist">
              <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              有关</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">OpenSSL的</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">更多信息，</font><font style="vertical-align: inherit;">请参阅</font></font><a href="http://www.openssl.org/" class="ulink" title="http://www.openssl.org/"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">OpenSSL主页</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">。
              </font></font></p>
            </li>
<li class="list itemizedlist">
              <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
              此外，O'Reilly的</font></font><a href="http://oreilly.com/catalog/9780596002701/" class="ulink" title="http://oreilly.com/catalog/9780596002701/"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">OpenSSL网络安全</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">是一个很好的深入参考。
              </font></font></p>
            </li>
</ul></div></div></div>
</div></div>
</div>
<div class="links nextlinks">
<a class="nextlinks-prev" href="apparmor.html" title="AppArmor的"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">上一页</font></font></a><a class="nextlinks-next" href="ecryptfs.html" title="eCryptfs"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">下一页</font></font></a>
</div>
<div class="clear"></div>
</div>
<div id="pagebottom"></div>
</div></div>
</div>
<div id="footer"><p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">本文档中的资料可在免费许可下获得，</font><font style="vertical-align: inherit;">有关详细信息</font><font style="vertical-align: inherit;">，请参阅</font></font><a href="https://help.ubuntu.com/legal.html"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Legal</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">。</font></font><br><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
          有关贡献的信息，请参阅</font></font><a href="https://wiki.ubuntu.com/DocumentationTeam"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Ubuntu文档团队Wiki页面</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">。</font><font style="vertical-align: inherit;">要报告此serverguide文档中</font></font><a href="https://bugs.launchpad.net/serverguide"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">的错误</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">，请</font><a href="https://bugs.launchpad.net/serverguide"><font style="vertical-align: inherit;">提交错误报告</font></a><font style="vertical-align: inherit;">。</font></font></p></div>
</div><div id="goog-gt-tt" class="skiptranslate" dir="ltr"><div style="padding: 8px;"><div><div class="logo"><img src="https://www.gstatic.com/images/branding/product/1x/translate_24dp.png" width="20" height="20" alt="Google 翻译"></div></div></div><div class="top" style="padding: 8px; float: left; width: 100%;"><h1 class="title gray">原文</h1></div><div class="middle" style="padding: 8px;"><div class="original-text"></div></div><div class="bottom" style="padding: 8px;"><div class="activity-links"><span class="activity-link">提供更好的翻译建议</span><span class="activity-link"></span></div><div class="started-activity-container"><hr style="color: #CCC; background-color: #CCC; height: 1px; border: none;"><div class="activity-root"></div></div></div><div class="status-message" style="display: none;"></div></div>


<div class="goog-te-spinner-pos"><div class="goog-te-spinner-animation"><svg xmlns="http://www.w3.org/2000/svg" class="goog-te-spinner" width="96px" height="96px" viewBox="0 0 66 66"><circle class="goog-te-spinner-path" fill="none" stroke-width="6" stroke-linecap="round" cx="33" cy="33" r="30"></circle></svg></div></div></body></html>